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INPUT DATA 

LOOK-UP TABLE FOR THE MULTIPLICATIVE INVERSE 
ARITHMETIC- LOGIC UNIT FOR CALCULATING THE AFFINE MAPPING 
SUBSTITUTED DATA 



^« (57) Abstract: When executing a byte substitution operation of the AES algorithm according to Rijndael, whereby the byte substitu- 
tion operation has a partial operation of the affine mapping and a partial operation of the multiplicative inverses, the partial operation 
of the multiplicative inverses is executed using a look-up table, whereas the partial operation of the affine mapping is calculated using 

^\ a hardwired arithmetic -logic unit or in software. Instead of the S-box, only the multiplicative inverse is stored in tabular form so that 
the same look-up table can be used in a decrypting device and in an encrypting device of an AES cryptography system, whereby 

^ resulting in a savings in memory according to the size of the look-up table. 

H 

(57) Zusammenfassung: Beim Ausfiihren einer Bytesubstitutionsoperation des AES-Algorithmus nach Rijndael, wobei die Byte- 
fT) substitutionsoperation eine Teiloperation der affinen Abbildung und eine Teiloperation der multiplikativen Inversen aufweist, wird 
die Teiloperation der multiplikativen Inversen mittels einer Nachschlagtabelle ausgefuhrt, wahrend die Teiloperation der affinen 

O Abbildung mittels eines fest verdrahteten Rechenwerks oder in Software berechnet wird. Statt der S-Box wird nur noch die multip- 
likative Inverse tabellarisch 
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gespeichert, so daB in einer Entschlusselungseinrichtung und einer Verschliisselungseinrichtung eines AES-Kryptographiesystems 
dieselbe NachschJagtabelle verwendet werden kann, was in einer Speichereinsparung entsprechend der GroBe einer Nachschlagta- 
belle resultiert 
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Beschreibung 

Verfahren und Vorrichtung zum Ausfiihren einer Bytesubstituti- 
onsoperation des AES-AIgorithmus nach Rijndael 

5 

Die vorliegende Erfindung bezieht sich auf den AES- 
Algorithmus nach Rijndael und insbesondere auf eine verbes- 
serte Implementation der Bytesubstitutionsoperation dieses 
Algorithmus. 

10 

Fig. 6 zeigt ein Ubersichtsdiagramm fur den AES- 
Kryptoalgorithmus, der auch als Ri j ndael-Algorithmus bezeich- 
net wird. Der Rij ndael-Algorithmus ist in dem Dokument „The 
Rjindael Block Cipher: AES Proposal" von Joan Daemen und Vin- 

15 cent Rijmen, Document Version 2, 9. Marz 1999, beschrieben. 
Der AES-AIgorithmus ist ein iterativer Algorithmus, bei dem 
eine vorgegebene Anzahl (10, 12 Oder 14) von Runden (rounds) 
berechr.et wird. Nachfolgend wird anhand von Fig. 6 eine Runde 
des AES-AIgorithmus fur einen Modus exemplarisch dargestellt. 

20 Startpunkt einer Runde ist ein Block von 16 Bytes, wobei je- 
des Byte 8 Bit umfaBt, also ein Block von 8 x 16 Bits. Diese 
sind in Fig. 6 bei 600 als vertikale Linien dargestellt. Der 
AES-AIgorithmus oder Rij ndael-Algorithmus ist ein sogenannter 
Block-Cipher-Algorithmus, bei dem bei dem in Fig. 6 gezeigten 

25 Beispiel ein Block von 16 x 8 Bits an Eingangsdaten gemeinsam 
verschliisselt werden. 

Der erste Schritt einer Runde wird als „i^dd Round Key" (Hin- 
zuftigen des Schlussels fur eine Runde) bezeichnet. Diese 

30 Funktion wird durch die bei 620 dargestellten Kreise symboli- 
siert. Der AES-Rundenschlussel, der ublicherweise von einem 
AES-Schlussel abgeleitet wird und als Expanded Key bezeichnet 
wird, umfaBt ebenfalls 16 x 8 Bit. In der Stufe Add Round Key 
wird eine bitweise XOR-Verschlusselung mit dem AES- 

35 Rundenschlussel und den 16 x 8 Bit an Eingangsdaten durchge- 
flihrt, wie es bei 630 dargestellt ist. 
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Die nachste Verarbeitungsstuf e einer Runde des AES 
Algorithms besteht in einer Byte-Substitution, die in Fxg. 
als Byte-Sub bezeichnet wird. Die Byte-Substitution besteht 
in einer mathematischen Function, die beim AES-Algorithmus 
eine multiplikative Inverse mit af finer Abbildung umfaBt. 
Diese mathematische Funktion wird durch eine Nachschlagtabel- 
le implement iert, welche ublicherweise als S-Box bezexchnet 
wird und in Fig. 6 durch Wurfel 640 symbolisch dargestellt 
ist Die Ausgangsdaten der Stufe 620 werden als Adresse fur 
die S-Box, d. h. die Byte-Substitutions-Nachschlagtabelle, 
verwendet, urn als Ausgangsdaten fur jedes Byte ein Substxtu- 
tionsbyte auszugeben, das die multiplikative Inverse mxt af- 
finer Abbildung der Eingangsadresse ist. Die S-Box enthalt 
keine geheimen Informationen, sondern kann im voraus berech- 
net werden oder von einer offentlich zuganglichen Stelle ab- 
gerufen werden. Die geheimen Informationen stecken xn den 
Eingangsdaten, d. h. Eingangsadressen fur die S-Box. 

Die Ausgangsdaten der Byte-Substitution 64o' werden dann einer 
Zeilenverschiebungsoperation 650 unterzogen, die xn Fxg. 6 
als Shift Row- bezeichnet wird. Die Ausgangsdaten der Stufe 
650 werden dann einer Spaltenvermischung unterzogen, dxe xn 
Fig 6 durch langliche Quader symbolisch dargestellt xst und 
in der Technik als „Mix Column- bezeichnet wird. Die Opera- 
tionen 620, 640, 650 und 660 bilden eine von typischerwexse 
zehn Runden des AES-Algorithmus, wobei eine Runde xn der 
Technik auch als Round bezeichnet wird. Die Ausgangsdaten der 
Mix-Column-Operation, d. h. einer Runde oder Round, werden 
dann wieder einer Add-Round-Key-Operation 620' unterzogen, 
wobei wieder eine bitweise XOR-Verknupf ung der Daten mxt ex- 
nem Schlussel 630' ftir die nachste Runde durchgefuhrt wxrd 
etc. Nach einer wahlbaren Anzahl von Runden, welche ublxcher- 
weise 10 betragt, liegen dann die AES-verschltisselten Daten 
vor. 

Nachteilig an der oben beschriebenen Ausfuhrung der Bytesub- 
stitution mittels einer Nachschlagtabelle ist, da* xn exner 
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Verschlusselungseinrichtung, in der Eingangsdaten in substi- 
tuierte Daten transf ormiert werden, also in der Einrichtung 
640 von Fig. 6, eine andere Tabelle verwendet werden muft, als 
in einer Entschliisselungseinrichtung, in der die korrespon- 
5 dierende inverse Operation des symmetrischen AES-Algorithmus, 
also eine Riicksubstitution der Daten, durchgefuhrt wird. Eine 
Vorrichtung, die sowohl eine Verschliisselung als auch eine 
Entschlusselung gemaft dem AES-Algorithmus nach Rijndael 
durchfuhrt, benotigt somit zwei Nachschlagtabellen, namlich 

10 eine fur die Verschlusselungskomponente und eine fur die Ent- 
schliisselungskomponente . Es sei darauf hingewiesen, daft die 
Bytesubstitutions-Nachschlagtabelle 256 8 Bits, also 256 
Byte groft ist. Eine bekannte Vorrichtung benotigt daher 2 x 
256 Byte Speicherplatz zuia Speichern der Bytesubstitutionsta- 

15 belle. 

Die obigen Speicherangaben gelten fur eine serielle Berchnung 
der Bytesubstitution. Aus Schnelligkeitsgrunden wird jedoch 
iiblicherweise eine parallele Verarbeitung der z. B. 16 Bytes 
20 eingesetzt. Dann muft die Bytesubstitutionstabelle 16-fach 

vorhanden sein. Der benotigte Speicherplatz betxagt dann 16 x 
2 x 256 Byte. 

Fur Anwendungen des AES-Algorithmus auf Allzweckcomputern 
25 stellt dies kein wesentliches Problem dar. Ganz anders ver- 

halt sich die Situation jedoch bei Chipkarten, bei denen auf- 
grund der Grofre des Speicherchips sehr restriktive Spei- 
cheranf orderungen vorhanden sind. Der Speicher auf Chipkarten 
liegt im Bereich von Kilobyte, so daft die Bytesubstitutions- 
30 tabellen fur die Entschlusselungskomponente als auch fur die 
Verschlusselungskomponente der Schaltung einen wesentlichen 
Speicherplatz in Anspruch nehmen . Andererseits sind die auf 
einer Chipkarte auszuf uhrenden Algorithmen mehr und mehr kom- 
plex, so daB auch die Anf orderungen hinsichtlich des Arbeits- 
35 speichers der Chipkarte ansteigen, damit die Chipkarte auch 
komplexere Algorithmen mit einem vernunftigen Durchsatz be- 
rechnen kann. 
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Die Aufgabe der vorliegenden Erfindung besteht darin, ein ef 
fizienteres Konzept zum Ausfiihren einer Bytesubstitutionsope- 
ration des AES-Algorithmus nach Rijndael zu schaffen. 

Diese Aufgabe wird durch ein Verfahren gemaB Patentanspruch 
1, durch eine Vorrichtung gemaB Patentanspruch 7 Oder durch 
ein Kryptographiesystem gemaJJ Patentanspruch 8 gelost. 

Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, dafi 
die Bytesubstitutionsoperation z. B. des AES-Algorithmus nach 
Rijndael auf gesplittet werden muJi und tails durch em fest 
verdrahtetes Rechenwerk und tells z. B. durch eine Nach- 
schlagtabelle oder anderweitig durchzuf iihren ist. Die Byte 
15 substitutionsoperation besteht aus zwei Teiloperationen, nam- 
lich der Operation der multiplikativen Inversen und der Teil 
operation der affinen Abbildung. In Analogie dazu besteht die 
Bytesubstitutionsoperation in einer Entschlusselungsvornch- 
tung in einer Teiloperation der inversen affinen Abbrldung 
und in der Teiloperation der multiplikativen Inversen. 



20 



35 



ErfindunosgemaB wird die affine Abbildung mittels eines fest 
verdrahteten Rechenwerks ausgefuhrt, wahrend die multiplika 
tive Inverse z. B. mittels einer Nachschlagtabelle ermittelt 
25 wird Dies ermOglicht es, daB sowohl fur die Verschlusse- 
lungsoperation als auch fur- die Entschlusselungsoperation 
dieselbe Nachschlagtabelle verwendet werden kann, namlich 
einfacb die Nachschlagtabelle der multiplikativen Inversen. 
Eine Kryptographievorrichtung mit einer Entschlusselungskom- 
30 ponente und einer Verschlusselungskomponente muli daher ledig 
lich noch eine einzige Nachschlagtabelle fur die Bytesubsti- 
tutionsoperation speichern, was in einer Speichereinsparung 
von beispielsweise 16 x 256 Byte fur eine parallele Implemen 
tation resultiert. Fur gr5iiere Nachschlagtabellen, d. h., 
wenn der AES-Algorithmus nicht byteweise,* sondern auf groliere 
Datenblocke ausgefuhrt wird, ist die Speichereinsparung m 
Byte noch signif ikanter . 
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Falls die Berechnung der rnultiplikativen Inversen auf andere 
Weise als durch eine Nachschlagtabelle durchgefuhrt wird, so 
ist die vorliegende Erfindung vorteilhaft darin, daft z. B. 
5 nur ein einziges Rechenwerk oder nur ein einziges Software- 
programm sowohl fur die Verschlusselung als auch die Ent- 
schliisselung benotigt werden. 

Erf indungsgemafi werden in der Nachschlagtabelle somit nicht 
10 die ublicherweise verfugbaren S-Box-Werte abgelegt, sondern 
lediglich eine Tabelle der rnultiplikativen Inversen der Ein- 
gangs- (Adreft-) Werte. In einem weiteren Schritt wird dann 
die affine Abbildung fest verdrahtet realisiert. Eine bevor- 
zugte Verdrahtung besteht darin, lediglich XOR-Gatter zu ver- 
15 wenden, wobei in einer weiteren Ausgestaltung der vorliegen- 
den Erfindung lediglich XOR-Gatter mit zwei Eingangen einge- 
setzt werden, urn die Anzahl der notigen Transistoren zu be- 
grenzen . 

20 Dadurch kann die gleiche Tabelle zuin Verschlusseln und Ent- 

schltisseln verwendet werden und es mussen nicht zwei getrenn- 
te Tabellen mit 256 x 8 Bits gespeichert 'werden . 

Bevorzugte Ausf iihrungsbeispiele der vorliegenden Erfindung 
25 werden nachfolgend bezugnehmend auf die beiliegenden Zeich- 
nungen naher erlautert. Es zeigen: 

Fig. 1 ein Blockschaltbild einer erf indungsgemaften Vor- 

richtung zum Ausfuhren einer Bytesubstitutionsope- 
30 ration des AES-Algorithmus nach Rijndael fur die 

Verschlusselungsoperation; 

Fig. 2 ein Blockschaltbild einer Vorrichtung zum Ausfuhren 
einer- Bytesubstitutionsoperation des AES- 
35 Algorithmus nach Rijndael fur die Entschltisselungs- 

operation; 
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Fig. 3a die Rechenvorschrif t fur die affine Abbildung; 

Fig. 3b eine arithmetisch-logische Darstellung der Vor- 
schrift von Fig. 3a; 

Fig. 4 ein Rechenwerk zum Berechnen der affinen Abbildung 
gemaft einem ersten Ausf uhrungsbeispiel der vorlie 
genden Erfindung; 

10 Fig 5 ein Rechenwerk zum Berechnen der affinen Abbildung 
gemali einem weiteren Ausfuhrungsbeispiel der vor 
liegenden Erfindung; und 

Fig. 6 ein Ubersichtsdiagramm iiber eine Runde des AES- 
15 Algorithmus. 

Die Bytesubstitutionsoperation des AES -Algorithmus ist eine 
nichtlineare Bytesubstitution, die auf jedes der Zustands- 
bytes des AES-Algorithmus unabhangig wirkt. Die Substitutr- 
onstabelle (Oder S-Box) besteht aus zwei Transf ormationen . 
Zunachst muA die multiplikative Inverse in GF(2 8 ) ermittelt 
werden, und dann miissen die Ergebnisdaten einer affinen 
Transformation (iiber GF(2)) unterzogen werden. 

Erfindungsgemafi umfaBt die Vorrichtung zum Ausfvihren der 
Bytesubstitutionsoperation zunachst eine Einrichtung 10 zum 
Ausfuhren der Teiloperation der multiplikativen Inversen mxt- 
tels einer Nachschlagtabelle und dann ein fest verdrahtetes 
Rechenwerk 12 zum Berechnen der affinen Abbildung der Aus- 
gangsdaten der Einrichtung 10, urn aus Eingangsdaten an emem 
Eingang 14 substituierte Daten an einem Ausgang 16 zu erhal- 
ten- 

Wahrend Fig. 1 fur eine Verschlusselungsvorrichtung gilt, ist 
Fig 2 fur eine Entschlusselungsvorrichtung dargestellt. Sub- 
stituierte Daten werden zunachst einem Rechenwerk 20, das 
fest verdrahtet ist, zugeftihrt. Das Rechenwerk berechnet die 
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inverse affine Abbildung. Die Ausgangsdaten der Einrichtung 
20 werden dann einer Einrichtung 22 zum Berechnen der multi- 
plikativen Inversen zugefuhrt. Die Einrichtung 22 ist wieder, 
wie die Einrichtung 10 von Fig. 1, als Nachschlagtabelle fur 
5 die multiplikative Inverse organisiert. An einem Ausgang 24 
der in Fig. 2 gezeigten Vorrichtung iiegen somit rucksubsti- 
tuierte Daten vor, die aus substituierten Daten an einem Ein- 
gang 26 der in Fig. 2 gezeigten Vorrichtung berechnet worden 
sind. 

10 

Im nachf olgenden wird bezugnehmend auf Fig. 3a auf die Be- 
rechnungsvorschrift zum Berechnen der affinen Abbildung ein- 
gegangen. Fig. 3a stellt somit die Rechenvorschrif t dar, die 
das Rechenwerk 12 aus Fig. 1 umsetzen mufi . Die Eingangsdaten 

15 in das Rechenwerk sind mit x 0 bis x 7 bezeichnet, wahrend die 

Ausgangsdaten aus dem Rechenwerk, also die substituierten Da- 
ten von Fig. 1, mit y 0 bis y 7 bezeichnet sind. Es sei darauf 
hingewiesen, daft die affine Abbildung in Fig. 3a fur acht 
Eingangsbits und acht Ausgangsbits dargestellt ist. Es sei 

20 jedoch auch darauf hingewiesen, daft der AES-Algorithmus prin- 
zipiell auch mit einer anderen Anzahl von Bits pro Block im- 
plementiert werden konnte . 

Durch Inversion der Vektorgleichung, die in Fig. 3a gezeigt 
25 ist, wird die mathematische Vorschrift zum Berechnen der in- 
versen affinen Abbildung, die durch das Rechenwerk 20 von 
Fig. 2 zu implementieren ist, erhalten. 

Fig. 3b zeigt die Berechnungsvorschrif t der- Gleichung von 
30 Fig. 3a mittels logischer Operatoren, wobei das Zeichen + fur 
eine XOR-Verkniipf ung steht, wahrend das Zeichen - fur eine 
NICHT- oder NOT-Operation steht. Die Addition, die durch die 
letzte Spalte von Fig. 3a dargestellt ist, kann im Dualsystem 
auch durch die NOT-Operation berechnet werden, je nachdem, 
35 was schaltungstechnisch giinstiger ist. 



XXI D: <WO_03010919A1J_> 



WO 03/010919 



8 



PCT/EP02/07296 



Fig. 4 zeigt eine schaltungstechnische Realisierung der in 
Fig 3b gezeigten Gleichungen. Als Eingangswerte werden x 0 
bis' x 7 eingegeben, um als Ausgangswerte y 0 bis y 7 zu erhalten. 
Die in Fig. 4 gezeigte Schaltung umfalit acht XOR-Gatter 40 
5 bis 47, wobei die Ausgange der XOR-Gatter 40, 41, 45 und 46, 
wie es durch die in Fig. 3b gezeigten entsprechenden Glei- 
chungen vorgegeben ist, invert iert sind. 

Wie es aus Fig. 4 zu sehen ist, hat jedes der XOR-Gatter 40 
10 bis 47 mehr als zwei Eingange. 

Eine Transistor-sparendere Implementation der in Fig. 3b ge- 
zeigten Berechnungsvorschrift ist in Fig, 5 dargestellt. Frg. 
5 umfaftt wieder ausschliefilich XOR-Gatter 50 bis 65, wobei 
jedoch samtliche Gatter ausschlieiilich zwei Eingange und ei 
nen Ausgang haben. Mittels der XOR-Gatter 50 bis 53 werden 
erste HilfsgroGen HI bis H4 berechnet. Mittels der XOR-Gatter 
54 bis 57 werden dann aus den ersten Hilfsgrofcen HI bis H4 
zweite Hilfsgroften H5 bis H8 berechnet. Die Ausgangswerte, 
also die substituierten Daten am Ausgang 16 von Fig. 1 bzw. 
y 0 bis y 7 , werden schlieJilich durch die XOR-Gatter 58 bis 65 
erhalten, wobei die Ausgange der XOR-Gatter 58, 59, 63 und 64 
invertiert sind, wie es durch die in Fig. 3b gezeigten Gler- 
chungen vorgegeben ist. 
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Obgleich die in Fig. 5 gezeigte Schaltung mehr XOR-Gatter als 
die in Fig. 4 gezeigte Schaltung aufweist, wird sie dennoch 
bevorzugt, da jedes der in Fig. 5 gezeigten XOR-Gatter ledxg- 
lich zwei Eingange aufweist, so dafi insgesamt eine Transx- 
30 storeinsparung erreicht werden kann. 

Es sei darauf hingewiesen, dafi weitere schaltungstechnische 
implementationen der Teiloperation der affinen Abbildung bzw. 
der inversen affinen Abbildung implementiert werden konnen. 
35 Unabhangig davon, welche spezielle Implementation fur das 

fest verdrahtete Rechenwerk zum Berechnen der affinen Abbrl 
dung gewahlt wird, oder ob die Berechnung der affinen Abbrl- 
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dung softwaremaBig implementiert wird, wird immer der vorteii 
erhalten, dafi sowohl die Entschlusselungskomponente als auch 
die Verschlusselungskomponente einer Kryptographievorrichtung 
dieselbe Nachschlagtabelle verwenden konnen, in der die mul- 
5 tiplikative Inverse tabellarisch abgespeichert ist. 
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Bezugszeichenliste 

10 Einrichtung zum Ausftihren der Teiloperation der mul- 

tiplikativen Inversen 
12 Rechenwerk zum Berechnen der affinen Abbildung 
14 Eingang einer Verschlusselungseinrichtung 
16 Ausgang der Verschlusselungseinrichtung 

20 Rechenwerk zum Berechnen der inversen affinen Abbildung 
22 Einrichtung zum Ausfuhren der Teiloperation der mul- 

tiplikativen Inversen mittels einer Nachschlagtabelle 
24 Ausgang der Entschlusselungseinrichtung 
2 6 Eingang der Entschlusselungseinrichtung 
40 - 47 XOR-Gatter mit mehr als zwei Eingangen 
50 - 57 erster Satz von XOR-Gattern mit zwei Eingangen 
58 - 65 zweiter Satz von XOR-Gattern mit zwei Eingangen 
600 Eingangsbyte 
620 Add-Round-Key- Funktion 

630 XOR-Verschliisselung mit dem AES-Rundenschlussel 
640 Bytesubstitutionsoperation mittels einer S-Box 
650 Shift-Row-Funktion 
660 Mix-Column-Funktion 

620' Add-Round-Key-Funktion der nachsten Runde 
630' XOR-Verschliisselung fur die nachste Runde 
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Patentanspruche 

1. Verfahren zum Ausfuhren einer Bytesubstitutiohsoperat ion, 
wobei die Bytesubstitutionsoperation eine Teiloperation der 

5 affinen Abbildung und eine Teiloperation der multiplikativen 
Inversen aufweist, mat folgenden Schritten: 

Ausfuhren (10) der Teiloperation der multiplikativen Inver- 
sen; und 

10 

Ausfuhren (12) der Teiloperation der affinen Abbildung rait- 
tels eines Rechenwerks. 

2. Verfahren nach Anspruch l r bei dem die Bytesubstitutions- 
15 operation die Bytesubstitutionsoperation des AES-Algorithmus 

nach Rijndael ist. 

3. Verfahren nach Anspruch 1 oder 2, bei dem der' Schritt des 
Ausfuhrens (10) der Teiloperation der multiplikativen Inver- 

20 sen mittels einer Nachschlagtabelle durchgefuhrt wird. 

4. Verfahren geniaft einem der vorhergehenden Anspruche, bei 
dem das Rechenwerk zum Berechnen der Teiloperation der affi- 
nen Abbildung eine CPU ist und die Berechnung in Software 

25 ausgefuhrt wird. 

5. Verfahren gemaft einem der Anspruche 1 bis 3,.. bei dem das 
Rechenwerk zum Berechnen der affinen Abbildung ein fest ver- 
drahtetes Rechenwerk ist. 

30 

6. Verfahren gemafi Anspruch 5, bei dem das fest verdrahtete 
Rechenwerk zum Ausfuhren der Teiloperation der affinen Abbil- 
dung lediglich XOR-Gatter aufweist. 

35 7. Verfahren gemafi Anspruch 6, bei dem jedes XOR-Gatter des 

fest verdrahteten Rechenwerks lediglich zwei Eingange und ei- 
nen Ausgang aufweist. 
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8. Verfahren gemaft Anspruch 7, 

bei dem ein Dateneingangsblock fur die Bytesubstitutionsope- 
5 ration eine Anzahl von Bits aufweist und ein Datenausgangs- 
block far die Bytesubstitutionsoperation dieselbe Anzahl von 
Bits aufweist, und 

bei dem der Schritt des Ausfuhrens der Teiloperation der af- 
10 finen Abbildung folgende Schritte aufweist: 

Berechnen einer Anzahl von Hilfsgrofcen (HI - H8) unter Ver- 
wendung eines ersten Satzes von XOR-Gattern (50 - 57) mxt Je- 
wells genau zwei Eingangen, dessen Anzahl gleich der Anzahl 
15 der Hilfsgr6fcen 1st, wobei die Anzahl der Hilfsgroiien glexch 
der Anzahl von Bits des Dateneingangsblocks ist; und 

Berechnen der Bits (y„ - y*> des Datenausgangsblocks unter 
Verwendung eines zweiten Satzes von XOR-Gattern (58 - 65) nut 
jeweils zwei Eingangen unter Verwendung der Bits- des Daten- 
eingangsblocks und der Hilf sgrSfcen, wobei die Anzahl der XOR- 
Gatter (58 _ 65) des zweiten Satzes gleich der Anzahl von 
Bits des Datenausgangsblocks ist. 

9 Vorrichtung zum Ausfuhren einer Bytesubstitutionsoperati- 
on, wobei die Bytesubstitutionsoperation eine Teiloperatron 
der af finen Abbildung und eine Teiloperation der multiplika- 
tiven Inversen aufweist, mit folgenden Merkmalen: 

einer Einrichtung zum Ausfuhren (10) der Teiloperation der 
multiplikativen Inversen; und 

einer Einrichtung zum Ausfuhren (12) der Teiloperation der 
af finen Abbildung mittels eines Rechenwerks. 

10. Symmetrisches Kryptographiesystem zum Ausfuhren einer 
Verschlusselungsoperation und einer Entschlusselungsoperatron 
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unter Verwendung eines Algorithmus, der eine Bytesubstituti- 
onsoperation aufweist, die eine Teiloperation der affinen Ab- 
bildung und eine Teiloperation der multiplikativen Inversen 
aufweist, mit folgenden Merkmalen: 

in einer Verschliisselungseinrichtung : 

eine Einrichtung zum Ausfiihren der Teiloperation der mul- 
tiplikativen Inversen; und 

ein Rechenwerk (12) zurn Ausfiihren der Teiloperation der 
affinen Abbildung; 

in einer Entschlusselungseinrichtung: 

ein Rechenwerk (20) zum Ausfiihren einer Operation, die zur 
Teiloperation der affinen Abbildung invers ist; und 

eine Einrichtung (22) zum Ausfiihren der Teiloperation der 
20 multiplikativen Inversen, 

wobei die Einrichtung (10) zum Ausfiihren der Teiloperation 
der multiplikativen Inversen in der Verschliisselungseinrich- 
tung und der Entschlusselungseinrichtung ausgebildet sind, urn 
25 gemeinsam eine einzige Einrichtung zu verwenden, durch die 
die Teiloperation der multiplikativen Inversen bestirnmbar 
ist . 

11. Symmetrisches Kryptographiesystem nach Anspruch 10, bei 
30 dem die einzige Einrichtung eine einzige Nachschlagtabelle 

aufweist, in der die Teiloperation der multiplikativen Inver- 
sen tabellarisch gespeichert ist 
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